辦公樓網(wǎng)絡(luò)規(guī)劃方案

1、計科系辦公樓網(wǎng)絡(luò)系統(tǒng)集成二零一一年六月目錄.網(wǎng)絡(luò)現(xiàn)狀需求分析.應(yīng)用需求用戶性能分析樓層結(jié)構(gòu)分析：樓層使用分析環(huán)境分析網(wǎng)絡(luò)分析接點分析網(wǎng)絡(luò)管理需求.網(wǎng)絡(luò)系統(tǒng)設(shè)計網(wǎng)絡(luò)設(shè)計原則網(wǎng)絡(luò)拓撲圖及相關(guān)命令 IP 地址規(guī)劃和 VLAN%計IP 規(guī)劃VLAN 設(shè)計.辦公樓網(wǎng)絡(luò)專項設(shè)計 網(wǎng)絡(luò)管理網(wǎng)絡(luò)安全性網(wǎng)絡(luò)擴展性設(shè)計 網(wǎng)絡(luò)操作系統(tǒng)選擇 應(yīng)用系統(tǒng)選型.網(wǎng)絡(luò)系統(tǒng)集成使用的主要設(shè)備 1網(wǎng)絡(luò)集成系統(tǒng)需求分析.網(wǎng)絡(luò)現(xiàn)狀我院許多實驗室和黨政領(lǐng)導(dǎo)部門都使用著計算機進行大量計算、統(tǒng)計、分析、管理和文字處理等工作。為了適應(yīng)教學(xué)、科研和管理工作的需要，加強我院內(nèi) 各部門之間的信息交流和共享，提高工作效率和水平，有必要為學(xué)院建立一個

2、 更加廣泛、實用、安全的網(wǎng)絡(luò)環(huán)境。需求分析了解用戶的基本情況計算機科學(xué)學(xué)院辦公大樓目前有辦公室6間、實驗室1-間、計算機中心室1間、資料室2間、會議室1間。我院網(wǎng)絡(luò)主要應(yīng)用于學(xué)校內(nèi)部教職工的教學(xué)和學(xué)生生活管理，多數(shù)區(qū)域能夠接入Internet ;學(xué)校有關(guān)教職工教學(xué)及學(xué)生生活的區(qū)域都已連成局域網(wǎng)同時我院開啟的網(wǎng)絡(luò)教學(xué)平臺，進行網(wǎng)上教學(xué)（交流） 、生活管理等服務(wù)等。.確定用戶需求我院網(wǎng)絡(luò)建設(shè)的主要目的是：能充分利用網(wǎng)絡(luò)資源，提高學(xué)生的自學(xué)能力；同時開啟網(wǎng)絡(luò)教學(xué)平臺，方便 學(xué)生下載資源及解決疑難，從而提高了教學(xué)質(zhì)量。能夠覆蓋我院的各個教學(xué)、科研、生活和管理區(qū)域，在各方面提供高效的網(wǎng)絡(luò)服務(wù)。具有較高的

3、安全性。2.網(wǎng)絡(luò)系統(tǒng)設(shè)計網(wǎng)絡(luò)設(shè)計原則.以滿足校園內(nèi)目前主要的網(wǎng)絡(luò)應(yīng)用項目為基本設(shè)計目標，為未來可能的 應(yīng)用項目保留充分的擴充余地；.采用目前通用的技術(shù)路線，但要充分考慮能夠適應(yīng)未來可能的技術(shù)發(fā)展;.布線工程一次性連通學(xué)校內(nèi)所有主要建筑物，根據(jù)應(yīng)用項目的實際需要 分期分批配置網(wǎng)絡(luò)設(shè)備；.充分注意保證網(wǎng)絡(luò)的安全性，可靠性和可維護性。網(wǎng)絡(luò)拓撲圖及相關(guān)命令配置命令：Router#conf tRouter(config)#int fa0/0Router(config-if)#no shutdownRouter(config-if)#int fa0/0.10Router(config-subif)#enc

4、apsulation dot1Q 10Router(config-subif)#int fa0/0.20Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#int fa0/0.30Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#endIP地址規(guī)劃和VLANS計IP 規(guī)劃簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂 (Summarization)及 CIDR(Clas

5、sless Inter-Domain Routing)技術(shù)縮減路由表 的表項，提高路由器的處理效率；可擴充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機數(shù)量增加時仍然能夠保持地址的連續(xù)性，網(wǎng)絡(luò)系統(tǒng)的編址方案利用CIDR和可變長子網(wǎng)掩碼技術(shù)，并支持IPv6 ,為了滿足不斷增長的IP地址需求，并實現(xiàn)與 其他網(wǎng)絡(luò)互聯(lián)和內(nèi)部子網(wǎng)互聯(lián)的有效控制和管理，建議企業(yè)網(wǎng)采用內(nèi)部保留地址,給將來的網(wǎng)絡(luò)發(fā)展留下充分的余地；靈活性：地址分配不應(yīng)該基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多 數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化；唯一性：在整個網(wǎng)絡(luò)環(huán)境中必須保持IP地址的唯一性；可管理性：地址的分配應(yīng)該有層

6、次，某個局部的變動不要影響上層、全局。安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進行管理。VLAN 設(shè)計在此我們主要采用的是 Vlan技術(shù)：丫1人可交換環(huán)境中為了克服網(wǎng)絡(luò)物理分段白限制而建立的邏輯網(wǎng)絡(luò)段。VLAN在物理網(wǎng)絡(luò)的基礎(chǔ)上，能根據(jù)需要靈活的劃出許多邏輯網(wǎng)絡(luò)，從而擺脫了建筑物、樓層、地址 空間等物理地域限制，以及因為位于布線柜或路由器地理位置的固定而造成的對用戶組 的限制，能根據(jù)用戶實際需要靈活地建立邏輯的專用網(wǎng)絡(luò)，使網(wǎng)絡(luò)更安全，更便于管理， 更暢通和帶寬更有保證。VLAN術(shù)為網(wǎng)絡(luò)設(shè)計帶來了實質(zhì)性變化：1)碰撞域縮小，廣播隔離;2）交換端口智能化；3）物理邊界不復(fù)存在；4）用戶按

7、邏輯關(guān)系分組；5）更有力地控制帶寬，有在鏈路擁護時配置和重新分配流量；6）簡化了用戶移動時配置和重新布線的過程；7）集中式管理，提供關(guān)于流量和廣播狀態(tài)的詳細報告以及VLAN組大小和組成的統(tǒng)計數(shù)據(jù)；8）用于跨VLAN通訊的路由功能等。VLAN的主要技術(shù)特點包括：1. VLAN有基于網(wǎng)絡(luò)協(xié)議類型、網(wǎng)絡(luò)交換機端口、網(wǎng)絡(luò)鏈路層地址和網(wǎng)絡(luò)層地址定義 等多種形式：1）基于網(wǎng)絡(luò)協(xié)議的 VLAN基于網(wǎng)絡(luò)協(xié)議的 VLAN主要有跨越快速以太網(wǎng)主干的ISL、跨越FDDI的802.10和跨越ATM的LANE這些協(xié)議可在那些與快速以太網(wǎng)、FDDI、ATM主干網(wǎng)相連接的交換機、路由器和服務(wù)器之間傳送配置后的VLAN言息。

8、2）基于網(wǎng)絡(luò)交換機端口的 VLAN基于交換機端口的 VLAN是大多數(shù)網(wǎng)絡(luò)交換機廠家都能提供性能。依據(jù)端口草分網(wǎng)絡(luò) 成員關(guān)系，擴大了交換機的傳輸性能，便于通過GUI進行管理和網(wǎng)絡(luò)控制，能確保數(shù)據(jù)包不會漏入其它區(qū)域增強了 VLAN之間的安全性。3）基于網(wǎng)絡(luò)鏈路層地址的 VLAN基于鏈路層（第二層）地址的 VLAN是依據(jù)MACM址劃分網(wǎng)絡(luò)中的成員關(guān)系，能把 VLAN劃分的更細、更靈活，但是增加一些開銷。它是在 OSI第2層上的VLAN分段采用了 一種包標識處理（包標志）。數(shù)據(jù)包在經(jīng)過整個交換網(wǎng)絡(luò)時都攜帶這一標識。從而使得唯 一標識的數(shù)據(jù)包從每一個交換端口到VLAN組的處理具有極小的時延。這種方法不需

9、要對終端站應(yīng)用進行任何修改?？梢灾苯舆M彳T配置和管理，并可對現(xiàn)有的LAN介質(zhì)類型和千兆骨干網(wǎng)進行擴展。當交換機接收到來自任何相連終端站設(shè)備的數(shù)據(jù)包后，在每個包頭 部都會加上一個唯一的包標識符。1頭部信息指定了每個包的VLAN屬性（即屬于哪一個VLAN。然后，根據(jù) VLAN標識符與MACM址，將數(shù)據(jù)包傳遞給相應(yīng)交換機和路由器，在 到達最終日的站點時，數(shù)據(jù)包在相鄰的交換機中去除頭部信息，并以原來的形式傳遞至相連的設(shè)備。這種方法為在不干擾網(wǎng)絡(luò)和應(yīng)用的情況下控制廣播和應(yīng)用的信息流動提供了一種強有力的機制。目前，絕大多數(shù)網(wǎng)絡(luò)設(shè)備廠商還不能提供基于網(wǎng)絡(luò)層地址定義的 VLAN4）基于網(wǎng)絡(luò)層地址定義的 VLA

10、N基于網(wǎng)絡(luò)層的 VLAN通過基于協(xié)議類型和網(wǎng)絡(luò)地址的分段，可在網(wǎng)絡(luò)層（第 3層） 上得到進一步定義。這種類型的VLAN分段需要子網(wǎng)地址與 VLAN組映射。交換機將終端站白MACM址和基于子網(wǎng)地址的對應(yīng) VLAN連接起來，同時選定在同一 VLAN中的其它站 的相應(yīng)網(wǎng)絡(luò)端口。這種方法的優(yōu)點在于網(wǎng)絡(luò)管理員可根據(jù)每個包中的網(wǎng)絡(luò)層信息對網(wǎng)絡(luò) 進行分段。這種 VLAN&是大多數(shù)廠商不能支持的。VLAN之間的通信VLAN間的通信需要第 3層的路由選擇。如果沒有這個功能，VLAN將完全是相互獨立的。在今天的幾乎所有網(wǎng)絡(luò)中，無論所處地點或邏輯網(wǎng)段如何，訪問網(wǎng)絡(luò)所有部分的 能力是至關(guān)重要的。這就要求在一個交換機或

11、路由器中跨主干網(wǎng)進行第3層。這樣，在設(shè)計配置和管理 VLAN時，第3層路由選擇就成為一個必不可少的組成部分。VLAN的負載分布功能VLAN的負載分布功能對局域網(wǎng)來說是十分重要的。能夠在兩個流量密集的交換機間 分布流量負載，同時又能保持這些鏈路完全冗余性，這對于需要在兩個或一系列互連的 交換機間進行大帶寬通信的網(wǎng)管員來說是一個非常有效的機制。將用戶和流量分布在不 同的VLAN中，網(wǎng)管員可以在交換機間添加冗余鏈路，并利用這些鏈路來分布流量。在沒 布VLAN組的情況下，兩交換機間的冗余鏈路（重復(fù)路徑）并不能被交換機充分利用，這 是因為生成樹技術(shù)僅允許一條鏈路傳輸數(shù)據(jù)流，而禁止其它鏈路傳輸以防止形成橋

12、接環(huán) 路。通過把一組 VLAN分配給一個鏈路作為主要路徑，并把另一個VLAN組分配到冗余鏈路，仍然作為主要路徑，就可以在冗余鏈路上分布流量。如果使用兩條鏈路則可以將帶 寬加倍。而且，可添加的鏈路數(shù)量是不受限制的。通過為每個VLAN都提供一個生成樹，可以保持用于負載分配的重復(fù)鏈路冗余功能持續(xù)有效工作。當主鏈路發(fā)生故障時，配置 在這個鏈路的VLAN可通過冗余鏈路重新連接。在主要鏈路運行中斷期間，冗余鏈路將擔 負全部VLAN流量（如果僅有兩條冗余鏈路的話），當主鏈路恢復(fù)以后，生成樹會重新將VLAN流量引向這一鏈路。.劃分VLANVLAN各實驗由需要分析極樓層的電腦分布情況，可將網(wǎng)絡(luò)分為四個VLAN其

13、中，辦公室所有電腦共處一個VLAN方便各辦公室之間的通信，以及共享打印機等。各實驗室各處一個室之間的數(shù)據(jù)不相互傳播。.vlan的IP地址段分配情況VLANffi IP地址規(guī)劃如下表Vlan 號IP地址1020301.4.辦公樓網(wǎng)絡(luò)專項設(shè)計網(wǎng)絡(luò)管理是一個復(fù)雜網(wǎng)絡(luò)必須考慮的關(guān)鍵技術(shù)問題，這里的網(wǎng)絡(luò)管理主要 指網(wǎng)絡(luò)設(shè)備及其系統(tǒng)的管理，包括網(wǎng)絡(luò)配置管理，網(wǎng)絡(luò)性能管理，網(wǎng)絡(luò)安全管 理和網(wǎng)絡(luò)故障管理。網(wǎng)絡(luò)管理設(shè)計需要在配置每個網(wǎng)絡(luò)設(shè)備時，都選擇具有網(wǎng) 絡(luò)管理代理的，駐留有網(wǎng)絡(luò)管理協(xié)議的設(shè)備，網(wǎng)絡(luò)管理設(shè)計的另一方面，是配 置一個網(wǎng)絡(luò)管理中心，它一般是一臺微機，配置網(wǎng)絡(luò)管理平臺，在平臺上運行 管理每個網(wǎng)絡(luò)設(shè)備

14、的應(yīng)用軟件。計算機網(wǎng)絡(luò)的安全可以理解為計算機安全在網(wǎng)絡(luò)環(huán)境下的擴展，以保證業(yè) 主基于網(wǎng)絡(luò)的應(yīng)用安全、可靠。本方案中主要從如下幾方面來實現(xiàn)計算機網(wǎng)絡(luò) 的安全問題：1）內(nèi)部安全控制內(nèi)部訪問采取如下步驟以確保安全：a）身份認證，以識別區(qū)分合法用戶和非法用戶，從而阻止非法用戶訪問系統(tǒng)； b）權(quán)限控制，通過系統(tǒng)對用戶的授權(quán)，決定哪些用戶有資格訪問哪些資源； c）審計跟蹤，它將記錄哪個用戶在何時訪問了哪些資源，用于收費記帳和非法事件發(fā)生時能夠有效地追蹤；d）對一些機密文件采用加密數(shù)據(jù)存放，用戶一切合法后方可查閱。2）主干網(wǎng)關(guān)于安全性方面的設(shè)計僅僅提供安全控制的方法，具體的安全控 制方案需求根據(jù)應(yīng)用需求而定

15、。網(wǎng)絡(luò)安全性的保證可通過網(wǎng)之間的訪問控制功 能，限定各個部門之間非授權(quán)的網(wǎng)絡(luò)訪問。根據(jù)業(yè)主的信息點需求情況，在網(wǎng)絡(luò)的整體設(shè)計中充分考慮到網(wǎng)絡(luò)的擴展性，主要從如下兩個層次考慮:1）整個網(wǎng)絡(luò)結(jié)構(gòu)的擴展性。整個網(wǎng)絡(luò)主干采用星型拓撲結(jié)構(gòu)，可以很 容易地擴展主干節(jié)點。二級以下的節(jié)點也采用星型拓撲結(jié)構(gòu)，可以很靈活 地接入微機和工作站。2）網(wǎng)絡(luò)設(shè)備的擴展性。首先在網(wǎng)絡(luò)主干允許的情況下，可以增加樓層 集線器來擴展網(wǎng)絡(luò)信息點。然后，可以增加二級節(jié)點交換機以增加交換的端口。3.網(wǎng)絡(luò)系統(tǒng)集成使用的主要設(shè)備設(shè)備不性設(shè)備名稱設(shè)備單價設(shè)備數(shù)量小計核心路由器CISCO 3825核心交換機CISCO WS-C3560G-24

16、TS-S接入交換機CISCO WS-C2918-48TT-CCISCO 3825參數(shù)規(guī)格基本參數(shù)路由器類型多業(yè)務(wù)路由器傳輸速率10/100/1000Mbps端口結(jié)構(gòu)模塊化局域網(wǎng)接口2個擴展模塊610Mbps:14800pps包轉(zhuǎn)發(fā)率100Mbps:148800Pps1000Mbps:1488000pps功能參數(shù)防火墻內(nèi)置防火墻Qos支持支持VPN支持支持網(wǎng)絡(luò)管理Cisco ClickStart , SNMP其他參數(shù)產(chǎn)品內(nèi)存 256MBAC 100-240V電源電壓DC 24-60V產(chǎn)品尺寸373.38 X 434.34 X 88.9mm產(chǎn)品重量9.06kg工作溫度：0-40 環(huán)境標準濕度：5%

17、-95% （非冷凝）存儲溫度：-40-85 CCISCO WS-C3560G-24TS-滲數(shù)規(guī)格主要參數(shù)交換機類型企業(yè)級交換機應(yīng)用層級三層產(chǎn)品內(nèi)存128 MB DRAMK 32MB閃存?zhèn)鬏斔俾?0Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標準IEEE 802.3、IEEE802.3u、IEEE 802.3z、IEEE 802.3ab端口結(jié)構(gòu)非模塊化端口數(shù)量24接 口介質(zhì)10/100/1000BASE-T/1000FX/SX傳輸模式支持全雙工配置形式可堆疊交換方式存儲-轉(zhuǎn)發(fā)背板帶寬32Gbps包轉(zhuǎn)發(fā)率38.7MppsVLAN支持支持QO豉持支持網(wǎng)管支持支持網(wǎng)管功能網(wǎng)管功能SNMP,CLI,Web,管理軟件MAO址表12k數(shù)電源電壓環(huán)境標準產(chǎn)品尺(mm)產(chǎn)品重(Kg)模塊化插槽 2100-240 VAC(自動適應(yīng))50-60Hz工作溫度0C-45 c378*445*44縣 里5.4CISCO WS-C2918-48TT-C# 數(shù)規(guī)格主要參數(shù)交換機類型快速以太網(wǎng)交換機產(chǎn)品內(nèi)存64MB傳輸速率10Mbps/100Mbps/1000MbpsIEEE 802.1D,IEEE 802.1p,IEEE 802.1Q,IEEE 802.1s,IEEE 802.1w,IEEE 802.1x,IEEEI802.3ad,IEEE 802.3ah,IEEE 802.3x,IEEE 802